Vupt Docs
Security

Verificar assinaturas do instalador

Verifique assinaturas Apple Notarization, Windows Authenticode e Linux GPG nos instaladores do Vupt antes de executar.

Verificar assinaturas do instalador

Todo instalador do Vupt sai assinado. Antes de executar, valide a assinatura com as ferramentas nativas da plataforma. Isso prova que o binário veio da Vupt e não foi modificado em trânsito.

macOS — Apple Notarization

Depois de baixar Vupt-{version}-arm64.dmg ou Vupt-{version}-x64.dmg:

# Monta o DMG e localiza Vupt.app
hdiutil attach Vupt-{version}-arm64.dmg
cd /Volumes/Vupt

# Verifica a cadeia codesign (Apple Developer ID)
codesign --verify --verbose=2 Vupt.app

# Confirma o staple de Apple Notarization (verificável offline)
spctl --assess --type execute --verbose Vupt.app
# Esperado: "Vupt.app: accepted (source=Notarized Developer ID)"

# Inspeciona o Team ID do certificado de assinatura
codesign -dvvv Vupt.app 2>&1 | grep "Authority="
# Esperado: Apple Developer Team ID da Vupt

Se spctl reportar qualquer coisa diferente de accepted, não execute o binário. Refaça o download ou contate [email protected].

Windows — Authenticode

Depois de baixar Vupt-{version}-windows-x64.msi:

# PowerShell
Get-AuthenticodeSignature .\Vupt-{version}-windows-x64.msi |
  Format-List Status, SignerCertificate, SignatureType, TimeStamperCertificate

# Esperado:
#   Status: Valid
#   SignerCertificate Subject: CN=Vupt, ...
#   SignatureType: Authenticode
#   TimeStamperCertificate Subject: <autoridade de timestamp RFC 3161>

Alternativamente com signtool.exe (Windows SDK):

signtool verify /pa /v Vupt-{version}-windows-x64.msi

Um resultado Status: Valid com o subject da Vupt confirma que o binário é autêntico.

Linux — Assinatura GPG no AppImage

Depois de baixar Vupt-{version}.AppImage e o arquivo .sig correspondente:

# Importa a chave pública de release da Vupt (uma vez só)
curl -fsSL https://vupt.dev/keys/release-pubkey.asc | gpg --import

# Verifica
gpg --verify Vupt-{version}.AppImage.sig Vupt-{version}.AppImage

# Esperado: "Good signature from <Vupt Releases <[email protected]>>"

O que fazer se a verificação falhar

  1. Refaça o download do instalador + assinatura do canal oficial (releases.vupt.dev).
  2. Verifique o checksum SHA-256 contra o publicado em vupt.dev/changelog.
  3. Se continuar falhando, envie e-mail pra [email protected] com o arquivo, sua plataforma e o output da verificação. Não execute o binário.

Por que isso importa

Um distribuidor malicioso pode repackage o Vupt com código backdoor e servir de um cache CDN, mirror ou download comprometido. Verificação de assinatura te dá garantia criptográfica de que o binário que você tem é exatamente o que a Vupt publicou — sem modificações em trânsito, sem gaps na cadeia de confiança, sem comprometimento de supply chain a montante das chaves de assinatura.

Para a camada de auditoria que verifica a chain-of-trust de cost-attribution dentro do Vupt em runtime, veja verify-cost-chain.sh.

Edit on GitHub

Solução de problemas

Falhas comuns de instalação, problemas de conexão com o sandbox e erros ao colar chaves BYOK — com soluções explícitas.

Air-gapped mode

Run Vupt with no outbound internet. Ollama for local models, allowlist proxy, and offline license verification.

Vupt — Execute agentes de IA em paralelo